摘要:一般http中存在请求信息明文传输,容易被窃听截取;数据的完整性未校验,容易被篡改;没有验证对方身份,存在冒充危险。面对这些问题,怎么破?

一、为什么要用https

一般http中存在如下问题:请求信息明文传输,容易被窃听截取;数据的完整性未校验,容易被篡改;没有验证对方身份,存在冒充危险。

HTTPS又有哪些优势?

1、使用HTTPS可认证用户和服务器,确保数据发送到正确的客户机和服务器。

2、HTTPS是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。

3、HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

二、https中的证书是什么

CA:证书授权中心( certificate authority)类似于国家出入境管理处一样,给别人颁发护照;也类似于国家工商管理局一样,给公司企业颁发营业执照。它有两大主要性质:

  • CA本身是受信任的,国际认可的;
  • 给他受信任的申请对象颁发证书。 和办理护照一样,要确定你的合法身份,你不能是犯罪分子或造反派。当然,你需要被收保护费,同时,CA可以随时吊销你的证书。

CA 的证书 ca.crt 和 SSL Server的证书 server.crt 是什么关系呢?

  • SSL Server 自己生成一个 私钥/公钥对,server.key/server.pub 。server.pub 生成一个请求文件 server.req。 请求文件中包含有 server 的一些信息,如域名/申请者/公钥等。
  • server 将请求文件 server.req 递交给 CA,CA验明正身后,将用 ca.key和请求文件加密生成 server.crt由于 ca.key 和 ca.crt 是一对, 于是 ca.crt 可以解密 server.crt。
  • 在实际应用中:如果 SSL Client 想要校验 SSL server.那么 SSL server 必须要将他的证书 server.crt 传给 client.然后 client 用 ca.crt 去校验 server.crt 的合法性。如果是一个钓鱼网站,那么CA是不会给他颁发合法server.crt证书的,这样client 用ca.crt去校验,就会失败。

三、生成证书与密钥

shell脚本

#!/bin/bash

PROJECT_NAME="https Project"

# Generate the openssl configuration files.

cat > ca_cert.conf << EOF

[ req ]

distinguished_name     = req_distinguished_name

prompt                 = no

[ req_distinguished_name ]

 O                      = $PROJECT_NAME Certificate Authority

EOF

cat > server_cert.conf << EOF

[ req ]

distinguished_name     = req_distinguished_name

prompt                 = no

[ req_distinguished_name ]

 O                      = $PROJECT_NAME

 CN                     =

EOF

cat > client_cert.conf << EOF

[ req ]

distinguished_name     = req_distinguished_name

prompt                 = no

[ req_distinguished_name ]

 O                      = $PROJECT_NAME Device Certificate

 CN                     =

EOF

mkdir ca

mkdir server

mkdir client

# 生成私钥

openssl genrsa -out ca.key 1024

openssl genrsa -out server.key 1024

openssl genrsa -out client.key 1024

# 根据私钥创建证书请求文件,需要输入一些证书的元信息:邮箱、域名等

openssl req -out ca.req -key ca.key -new -config ./ca_cert.conf

openssl req -out server.req -key server.key -new -config ./server_cert.conf

openssl req -out client.req -key client.key -new -config ./client_cert.conf

# 结合私钥和请求文件,创建自签署证书

openssl x509 -req -in ca.req -out ca.crt -sha1 -days 5000 -signkey ca.key

openssl x509 -req -in server.req -out server.crt -sha1 -CAcreateserial -days 5000 -CA ca.crt -CAkey ca.key

openssl x509 -req -in client.req -out client.crt -sha1 -CAcreateserial -days 5000 -CA ca.crt -CAkey ca.key

mv ca.crt ca.key ca/

mv server.crt server.key server/

mv client.crt client.key client/

rm *.conf

rm *.req

rm *.srl

一些命令的解释

openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [numbits]

选项说明:

-out filename:将生成的私钥保存至filename文件,若未指定输出文件,则为标准输出。

-numbits:指定要生成的私钥的长度,默认为1024。该项必须为命令行的最后一项参数。

-des|-des3|-idea:指定加密私钥文件用的算法,这样每次使用私钥文件都将输入密码,太麻烦所以很少使用。

-passout args:加密私钥文件时,传递密码的格式,如果要加密私钥文件时单未指定该项,则提示输入密码。传递密码的args的格式

openssl req -out ca.req -key ca.key -new -config ./ca_cert.conf

主要命令选项:

-new :说明生成证书请求文件

-key :指定已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new 配合。

-out :指定生成的证书请求或者自签名证书名称

openssl x509 -req -in ca.req -out ca.crt -sha1 -days 5000 -signkey ca.key

openssl x509命令具以下的一些功能,例如输出证书信息,签署证书请求文件、生成自签名证书、转换证书格式等。

-in filename:指定证书输入文件,若同时指定了"-req"选项,则表示输入文件为证书请求文件,再使用"-signkey"提供自签署时使用的私钥。

-out filename:指定输出文件

-days: 指定证书的有效时间长短。缺省为30天

四、安装flask

需要安装python 的 openssl 的类库,使用pip 安装

pip install pyOpenSSL

五、https单向认证握手流程

python实现

server端:

from flask import Flask

app = Flask(__name__)

@app.route('/login')

def hello_world():

    return 'Hello World!'

if __name__ == '__main__':

    app.run(host="0.0.0.0", port=8091, ssl_context=('server.crt', 'server.key'))

客户端:

import urllib.request

import ssl

if __name__ == '__main__':

    CA_FILE = "ca.crt"

    context = ssl.SSLContext(ssl.PROTOCOL_TLS)

    context.check_hostname = False

    context.load_verify_locations(CA_FILE)

    context.verify_mode = ssl.CERT_REQUIRED

    try:

        request = urllib.request.Request('https://127.0.0.1:8091/login')

        res = urllib.request.urlopen(request, context=context)

        print(res.code)

        print(res.read().decode("utf-8"))

    except Exception as ex:

        print("Found Error in auth phase:%s" % str(ex))

六、https双向认证握手流程

python实现

客户端:

from flask import Flask, request, Response

import json

app = Flask(__name__)

@app.route("/login")

def hello():

    return "Hello World!"

@app.route('/login1', methods=['POST'])

def login():

    username = request.form.get("username")

    password = request.form.get("password")

    login_config = {

        "name": "pwd1"

    }

    if username in login_config.keys():

        if password == login_config[username]:

            return Response(json.dumps(True), status=200, mimetype='application/json')

    return Response(json.dumps(False), status=200, mimetype='application/json')

if __name__ == "__main__":

    app.run(host="0.0.0.0", port=8091, ssl_context=('server/server.crt', 'server/server.key'))

客户端:

import urllib.request

import ssl

if __name__ == '__main__':

    CA_FILE = "ca.crt"

    context = ssl.SSLContext(ssl.PROTOCOL_TLS)

    context.check_hostname = False

    context.load_verify_locations(CA_FILE)

    context.verify_mode = ssl.CERT_REQUIRED

    dict = {

        "username": "name",

        "password": "pwd1",

    }

    data = urllib.parse.urlencode(dict).encode('utf-8')

    try:

        request = urllib.request.Request('https://127.0.0.1:8091/login')

        res = urllib.request.urlopen(request, context=context)

        print(res.code)

        print(res.read().decode("utf-8"))

    except Exception as ex:

        print("Found Error in auth phase:%s" % str(ex))

    try:

        request = urllib.request.Request('https://127.0.0.1:8091/login1', data=data, method='POST')

        res = urllib.request.urlopen(request, context=context)

        print(res.code)

        print(res.read().decode("utf-8"))

    except Exception as ex:

        print("Found Error in auth phase:%s" % str(ex))

参考链接

openssl 命令(1): openssl req 命令详解

openssl简介-指令x509

openssl 命令(3): openssl x509命令详解

OpenSSL命令—pkcs12

十分钟搞懂HTTP和HTTPS协议?

Https单向认证和双向认证

python关于SSL/TLS认证的实现

本文分享自华为云社区《https如何使用python+flask来实现》,原文作者:SNHer 。

点击关注,第一时间了解华为云新鲜技术~

https如何使用python+flask来实现的更多相关文章

  1. AFNetworking+Python+Flask+pyOpenSSL构建iOS HTTPS客户端&服务器端

    对于HTTPS我在网上找了一堆资料看了下, 各种协议和证书已经有点晕了 最后我现有的感觉是, 在HTTP服务器上放一个证书, 在原本的HTTP访问之前客户端先检查证书是否正确 如果客户端证书检查正确, ...

  2. 【Azure 应用服务】Azure App Service For Linux 上实现 Python Flask Web Socket 项目 Http/Https

    问题描述 在上篇博文"[Azure 应用服务]App Service for Linux 中实现 WebSocket 功能 (Python SocketIO)"中,实现了通过 HT ...

  3. windows下python+flask环境配置详细图文教程

    本帖是本人在安装配置python和flask环境时所用到的资源下载及相关的教程进行了整理罗列,来方便后面的人员,省去搜索的时间.如果你在安装配置是存在问题可留言给我. 首先罗列一下python+fla ...

  4. [Python][flask][flask-login]关于flask-login中各种API使用实例

    本篇博文跟上一篇[Python][flask][flask-wtf]关于flask-wtf中API使用实例教程有莫大的关系. 简介:Flask-Login 为 Flask 提供了用户会话管理.它处理了 ...

  5. Taffy Web开发,Python Flask实践详解

    1. 前言 最近为Taffy自动化测试框架写了个页面,主要实现了用例管理.执行,测试报告查看管理.发送邮件及配置等功能. 2. 实现细节 页面使用Python Flask +Bootstrap开发,还 ...

  6. 细数Python Flask微信公众号开发中遇到的那些坑

    最近两三个月的时间,断断续续边学边做完成了一个微信公众号页面的开发工作.这是一个快递系统,主要功能有用户管理.寄收件地址管理.用户下单,订单管理,订单查询及一些宣传页面等.本文主要细数下开发过程中遇到 ...

  7. 前端和后端的数据交互(jquery ajax+python flask+mysql)

    上web课的时候老师布置的一个实验,要求省市连动,基本要求如下: 1.用select选中一个省份. 2.省份数据传送到服务器,服务器从数据库中搜索对应城市信息. 3.将城市信息返回客户,客户用sele ...

  8. 个人学期总结及Python+Flask+MysqL的web建设技术过程

    一个学期即将过去,我们也迎来了2018年.这个学期,首次接触了web网站开发建设,不仅是这门课程,还有另外一门用idea的gradle框架来制作网页. 很显然,用python语言的flask框架更加简 ...

  9. Taffy自动化测试框架Web开发,Python Flask实践详解

    1. 前言 最近为Taffy自动化测试框架写了个页面,主要实现了用例管理.执行,测试报告查看管理.发送邮件及配置等功能.   本页面适用所有基于taffy/nose框架编写的自动化测试脚本,或基于un ...

随机推荐

  1. 通过const app = getApp()实现在 page 页面获取 app.js 定义的属性globalData,即获取全局数据

    App.js是项目的入口文件,页面的 page.js 文件会覆盖 app.js文件, App.js文件里面的一些方法: onLaunch : function(){}:这个方法是当小程序加载完毕后就执 ...

  2. Ctf_show Web[1-8]

    CTFshow_web1: F12查看JS即在代码里 CTFshow_web2: 进入网址后页面如下: ①:尝试使用admin登陆,发现页面无回显 ②:尝试单引号闭合,并且添加' or 1=1#,此时 ...

  3. 给新手的 11 个 Docker 免费上手项目

    转: 给新手的 11 个 Docker 免费上手项目 作者:老K玩代码 来源:toutiao.com/i6882755471015576072 Docker 是一个开源的应用容器引擎,让开发者可以打包 ...

  4. 关于Laravel框架中Guard的底层实现

    1. 什么是Guard 在Laravel/Lumen框架中,用户的登录/注册的认证基本都已经封装好了,开箱即用.而登录/注册认证的核心就是: 用户的注册信息存入数据库(登记) 从数据库中读取数据和用户 ...

  5. POJ-2349(kruskal算法+最小生成树中最大边的长度)

    Arctic POJ-2349 这题是最小生成树的变形题目.题目的意思是已经有s个卫星频道,这几个卫星频道可以构成一部分的网络,而且不用费用,剩下的需要靠d的卫星接收器.题目要求的就是最小生成树中,最 ...

  6. C# 基础 - 堆栈跟踪使用

    使用一:可用于捕获报错时. using System.Diagnostics; ... StackTrace st = new StackTrace(true); string stackIndent ...

  7. FreeBSD 乃至开源界中的孔乙己 再论苦难哲学之一

    在许多狂热的FreeBSD 粉丝里,他们甚至不允许别人把FreeBSD写作freebsd,要和你强调,F和BSD都是大写的.还说这是什么尊重之类的东西.大抵和孔乙己的茴香豆的茴的有四种写法一样吧:&q ...

  8. 从sql语句的角度解刨SqlServer插入语句的并发问题

    今天收到一个小学弟的求助,数据库插入偶尔重复,怎么在sql语句上进行解决. Q:学长,我导入excel数据的操作,平时使用好好的,怎么突然发生插入重复的问题? A:你是使用哪个ORM框架进行操作的? ...

  9. Codeforces Round #546 C. Nastya Is Transposing Matrices

    题面: 传送门 题目描述: 给出两个n x m的矩阵A,B.矩阵A可以把正方子矩阵进行"转置操作",问:可不可以对矩阵A进行多次这样的操作,使矩阵A变为矩阵B?   题目分析: 这 ...

  10. Codeforces Round #545 B. Circus

    题面: 传送门 题目描述: 马戏团中一共有N个人(N是偶数),有的人会扮演小丑,有的人会表演杂技.给出每个人会什么,然后按照下列规则把这些人分成两组: 每个人只能在其中一组 两个组的人数相等(也就是把 ...